HACKER

Cyber-Security im akkreditierten Labor: DAkkS positioniert sich zur Anwendbarkeit der ISO 27001

Mit Spannung haben wir auf den Vortrag von Prof. Dr. Raoul Kirmes von der Deutschen Akkreditierungsstelle (DAkkS) und Dr. Helge Kreutzmann vom BSI im Rahmen der Akkreditierungskonferenz AKKKO 2023 in Berlin gewartet. Der Vortragstitel lautete:

„IT- und Cybersicherheit in Konformitätsbewertungsstellen – zwei Betrachtungen

Dr. Helge Kreutzmann, Fachexperte im Bundesamt für Sicherheit in der Informationstechnik (BSI), nahm Bezug auf das Bundeslagebild zur Cyberkriminalität, das regelmäßig vom Bundeskriminalamt (BKA) veröffentlicht wird: Demnach bleibt auch im aktuellen Lagebild 2022 Ransomware die primäre Bedrohung für Unternehmen. Phishing stellt den Haupteintrittsvektor für Schadsoftware dar. Die bezifferten Schäden durch Cyber-Angriffe belaufen sich auf rund 203 Mrd. Euro. Durch entsprechende Sensibilisierung gehen 2022 weniger Unternehmen auf Erpressungsforderungen von Tätern ein. Der russische Angriffskrieg verstärkt massiv die Angriffe auf kritische Infrastrukturen.

Einige Beispiele daraus:

So wurden 2022 Großteile der Server am Medizin Campus Bodensee bei einem Ransomware-Angriff verschlüsselt. Dies hatte zur Folge, dass keine Notfälle mehr angenommen werden konnten und die ambulante Patientenversorgung auch Tage später noch nicht möglich war.

Die Gruppierung LockBit erlangte Zugang zu den Systemen des Unternehmens CONTINENTAL und exfiltrierte Daten in der Gesamtmenge von 40 TB, die für 50 Mio. US-Dollar im Darknet angeboten wurden. Die Daten enthielten vertrauliche Informationen wie Strategiepläne, Korrespondenz und Kundendaten.

Dr. Helge Kreutzmann berichtete zudem von einem ähnlichen Angriff auf einen Anwaltskanzlei. Bei dem Angriff wurden sämtliche Daten auf den Servern der Kanzlei verschlüsselt und eine hohe Lösegeldforderung gestellt. Die Kanzlei teilte dem Angreifer mit, dass die Forderung wirtschaftlich nicht darstellbar sei und man darauf nicht eingehen könne. Die Angreifer teilten mit, dass Sie diese Behauptung überprüfen werden. Sie prüften die Wirtschaftsdaten des Unternehmens und die Kontostände und ließen mitteilen, dass die Überprüfung ergeben habe, dass ein Discount möglich sei. Natürlich wurde der Forderung nicht Folge geleistet und die Sache den Ermittlungsbehörden übergeben.

Angriffe können jeden treffen!

Eines steht fest: Keine Organisation ist vor Cyber-Kriminellen sicher. Mit diesen Risiken gilt es umzugehen, denn die Nutzung digitaler Tools wird nicht mehr weggehen und sichert unsere Wettbewerbsfähigkeit.

Die DIN EN ISO/IEC 17025 enthält Anhaltspunkte für die Konformitätsvermutung zu Anforderungen aus der DIN EN ISO/IEC 27001!

Bzgl. Informationssicherheit im Labor liefern uns einschlägige Normen erfreuliche Referenzen: Ein Blick in die DIN EN ISO/IEC 17025 – Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien – zeigt uns konkrete Anhaltspunkte für die Konformitätsvermutung zur DIN EN ISO/IEC 27001 – Informationstechnik – Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Anforderungen.

Bestätigt wird diese Vermutung ebenfalls durch einen Blick in die neue Revision der DIN EN ISO 15189 – Anforderungen an die Kompetenz von medizinischen Laboratorien. Dort ist sogar die Anwendung der Maßnahmen aus dem Anhang A der DIN EN ISO/IEC in einer Anmerkung referenziert!

Die Schutzziele der DIN EN ISO/IEC 27001 sind im sogenannten CIA-Prinzip leicht verständlich gegliedert. CIA steht für die drei Kernprinzipien der IT-Sicherheit: Confidentiality (Vertraulichkeit), Integrity (Integrität) und Availability (Verfügbarkeit). Diese drei Prinzipien bilden die Grundlage für den Schutz von Informationen und Daten in IT-Systemen. Natürlich wissen wir, dass „Vertraulichkeit“ auch in der DIN EN ISO/IEC 17025 und der DIN EN ISO 15189 verankert ist und im Kapitel 4.2 Vertraulichkeit ein eigenes Normkapitel erhalten hat. Doch auch die Integrität und Verfügbarkeit spielt in der DIN EN ISO/IEC 17025 bzw. der DIN EN ISO 15189 eine wichtige Rolle.

„Integrität von Informationen“ bedeutet, dass Sachverhalte der realen Welt richtig abgebildet werden – d.h. in einem unmodifizierten Zustand vorliegen. Wenn Modifikationen – sofern überhaupt möglich – vorgenommen werden, so müssen diese zumindest erkennbar ein (im sog. Audit-Trail). Wichtiger Bestandteil ist zudem, dass Informationen zu dem Zeitpunkt, zu dem Sie beobachtet werden, oder in der korrekten Reihenfolge erfasst werden sollen (temporale Korrektheit).

Einige Beispiele möchten wir hier herausstellen:

  • Im Kapitel 7.5.1 der DIN EN ISO/IEC 17025 finden wir:
    Das Laboratorium muss sicherstellen, dass die technischen Aufzeichnungen …. ausreichende Informationen enthalten, um, falls möglich, die Faktoren, die sich auf die Messergebnisse und deren Messunsicherheit auswirken, …. erkennen zu können und um eine Wiederholung der Labortätigkeit unter Bedingungen zu ermöglichen, die den in der Aufzeichnung niedergelegten möglichst nahe kommen.

    Die technischen Aufzeichnungen müssen das Datum und die Identität der Personen beinhalten,….. Ursprüngliche Beobachtungen, Daten und Berechnungen müssen zu dem Zeitpunkt ….. aufgezeichnet werden und der speziellen Aufgabe zuzuordnen sein.
  • Im Kapitel 6.4.1 der DIN EN ISO/IEC 17025 finden wir:
    Das Laboratorium muss Zugang zu Einrichtungen haben, die für die korrekte Durchführung …. erforderlich sind …. Ergebnisse beeinflussen können.
  • Im Kapitel 6.4.4 der DIN EN ISO/IEC 17025 finden wir:
    Das Laboratorium muss über Verfahren Verfügen … Funktionsfähigkeit sicherzustellen … Beeinträchtigungen zu vermeiden.
  • Im Kapitel 7.11.2 der DIN EN ISO/IEC 17105 finden wir:
    Die Informationsmanagementsysteme …. Erfassung, Verarbeitung, Aufzeichnung, das Berichten, die Lagerung und Ablage von Daten genutzt werden … Funktionsfähigkeit hin bewertet werden.
  • Im Kapitel 7.11.3 der DIN EN ISO/IEC 17025 schließlich finden wir:
    Das Informationsmanagementsystem muss vor unbefugtem Zugriff … Manipulation und Verlust … gesichert sein … Unversehrtheit der Daten sicherstellt.

Zu all diesen Anforderungen finden wir in der DIN EN ISO/IEC 17025 keine konkreten Maßnahmen; die Norm lässt das WIE bewusst offen. Die neue Revision der DIN EN ISO 15189 verweist nun erstmals auf die Maßnahmen im Anhang A der DIN EN ISO/IEC 27001.

Welche Zusatzanforderungen zur DIN EN ISO/IEC 27001 gelten für Konformitätsbewertungsstellen?

Im Vortrag von Herrn Professor Kirmes wurde ebenfalls darauf eingegangen, dass für Konformitätsbewertungsstellen (akkreditierte Prüf- und Kalibrierlaboratorien, medizinische Laboratorien, Zertifizierungsstellen, Inspektionsstellen etc.) neben den Schutzzielen „CIA“ noch weitere Schutzziele gelten, die normativ verankert sind. Dies sind z.B. Revisionssicherheit, metrologische Rückführbarkeit und Richtigkeit, Unparteilichkeit etc.

Die DAkkS wird die DIN EN ISO/IEC 27001 als Grundlage der Begutachtung heranziehen!

Auch in einem weiteren Vortrag von DAkkS-Qualitätsmanagementexperte Dr. Andreas Hönnerscheid wurde klar: Das neue DAkkS-Regelwerk erhält eine klare Struktur und erfährt eine starke Vereinfachung. Dies soll das Regelwerk übersichtlicher, transparenter und verständlicher machen sowie dafür sorgen, dass die teilweise vorhandene verwaltungsrechtliche Anfechtbarkeit verschwindet. Regeln werden nur noch dort entstehen, wo es noch keine Regelung gibt oder eine Interpretation vorhandener Regeln notwendig ist.

Aus diesem Grund empfiehlt die DAkkS, das existente Regelwerk DIN EN ISO/IEC 27001 und den BSI-Grundschutzkatalog zum Thema Informationssicherheit sowie bei der Wahrung der oben genannten Schutzziele heranzuziehen. Die Maßnahmen der Regelwerke sind umfassend und erfüllen den gewünschten Zweck. Sie werden demnach auch in Zukunft Grundlage der Begutachtung sein!

Muss ich nun eine Zertifizierung nach DIN EN ISO/IEC 27001 anstreben?

Nein. Die DAkkS verlangt weder den Betrieb eines umfassenden Informationssicherheits-Managementsystems (ISMS) noch die Zertifizierung – wenngleich ersteres absolut sinnvoll ist! Für Organisationen in kritischer Infrastruktur ist ein funktionsfähiges ISMS sogar Pflicht.

Gut zu wissen: Sie können als akkreditierte Stelle gar keine Zertifizierung nach DIN EN ISO/IEC 27001 halten! Konformitätsbewertungsstellen, wie z.B. der TÜV oder die DEKRA, müssen akkreditierte Bereiche bei der Bewertung des Konformitätsbewertungsgegenstandes Managementsystem aus dem Geltungsbereich ausschließen. Dies bedeutet, dass die DAkkS als übergeordnete Instanz in der akkreditierten Stelle für die Begutachtung der Informationssicherheit der konformitätsbewertungsrelevanten Systeme zuständig ist. Basis hierfür wieder: DIN EN ISO/IEC 27001 – Anhang A.

Wie muss ich nun in Zukunft vorgehen, um Informationssicherheit im Laboratorium sicherzustellen?

  • Werden Sie sich bewusst, welche Systeme an Ihrer Konformitätsbewertungstätigkeit beteiligt sind (Computer, Software, Firmware, Server, Festplatten, Datenträger etc.) und dokumentieren Sie diese (Dies ist bereits heute mit der Software-Liste in den einzureichenden Unterlagen teilweise gefordert).
  • Werden Sie sich bewusst, welche Risiken in Bezug auf die Informationssicherheit für diese Systeme gelten (Hilfreich dabei kann der Gefährdungskatalog „Elementare Gefährdungen“ des BSI sein). Lesen Sie sich diesen Katalog inkl. seiner Beispiele aufmerksam durch und halten Sie die Gefährdungen als Risiko fest, die sie unmittelbar feststellen!
  • Planen und treffen Sie Maßnahmen mit Bezug auf Ihre konkreten Schutzziele (der Anhang A der DIN EN ISO/IEC 27001 erläutert diesbezüglich wirksame Maßnahmen)!
  • Führen Sie eine Bewertung Ihrer Lieferanten konformitätsbewertungsrelevanter Informationssysteme durch. Viele Provider verfügen bereits heute über die entsprechende Kenntnis, Sie beim sicheren Betrieb zu unterstützen und halten selbst Zertifizierungen. Am einfachsten ist es für Sie, wenn Sie Cloud-Lösungen einsetzen und sicherstellen, dass diese Lieferanten selbst über eine Zertifizierung nach DIN EN ISO/IEC 27001 verfügen. Diese Provider stellen grundsätzlich nur Systeme für Sie bereit, wo die wesentlichen Schutzzeile mittels „security-by-design“ Konzepten für Sie mitgedacht sind.

    VORSICHT: Es ist nicht ausreichend, wenn diese Provider Ihre Lösungen in zertifizierten Rechenzentren zur Verfügung stellen, selbst aber nicht zertifiziert sind. Einige etablierte, langjährig tätige Softwareprovider verfügen leider über keine entsprechende eigene Zertifizierung nach DIN EN ISO/IEC 27001.

    Bedenken Sie auch: Betreiben Sie die Softwarelösung „on-premise“ – also auf Ihren Servern – sind Sie auch für den sicheren Betrieb verantwortlich. Dies stellt einen der wesentlichen Treiber für moderne Cloud-Produkte dar, die Ihnen diese Aufwände zu großen Teilen abnehmen!
  • Schulen Sie Ihre Mitarbeiter im Bereich Informationssicherheit, beteiligen Sie sich an Cyber-Security-Awareness Programmen und unterziehen Sie sich Penetrationstests.
  • Erstellen Sie eine Informationssicherheitsleitlinie, in der Sie Ihren Mitarbeiternden wichtige Handlungsempfehlungen auf den Weg geben.
  • Erstellen Sie ein Notfallhandbuch mit Handlungshinweisen im Informationssicherheitsvorfall und benennen Sie Ansprechpartner.

Wenn Sie sich in Ihrem Laboratorium in Zukunft besser um Ihre Cyber-Security kümmern und auch in der nächsten DAkkS-Begutachtung auf alles vorbereitet sein möchten, so helfen wir Ihnen mit unserer Erfahrung selbstverständlich auch im Bereich Informationssicherheit. Unsere AUDITTRAILS-Managementsystem-Frameworks für die DIN EN ISO/IEC 17025 bzw. DIN EN ISO 15189 lassen sich innerhalb kürzester Zeit um die Richtlinien DIN EN ISO/IEC 27001 oder den TISAX®-Katalog erweitern, sodass Sie in der nächsten Begutachtung auf ein umfassendes ISMS zugreifen können. Aufgrund der direkten Integration ist dabei auch eine stufenweise Einführung optimal möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner